Писать в открытом виде пароли в скрипты очень-очень плохо, сделай авторизацию по ssh-ключу, это 5 минут делов, секьюрнее и не надо никуда пароли вводить.
Писать в открытом виде пароли в скрипты очень-очень плохо, сделай авторизацию по ssh-ключу, это 5 минут делов, секьюрнее и не надо никуда пароли вводить.
Хранить на локалхосте файлик с секретной строкой символов (пароль) - это якобы несекьюрно. Но в то же время, хранить на локалхосте файлик с другой секретной строкой символов (приватную часть ключа) - это якобы секьюрно. Ага, ага...
Но в то же время, хранить на локалхосте файлик с другой секретной строкой символов (приватную часть ключа) - это якобы секьюрно.
Во-первых, passphrase + ssh-agent еще никто не отменял. Во-вторых, многие пароли можно запомнив, подсмотрев «из-за плеча», в отличие от приватного ключа, для которого нужна честная фотографическая память. Ну и в-третьих, после утечки приватного ключа, не нужно придумывать новый пароль.
В каких «сотнях скриптов», алё? Чем твоё ~/.ssh/id_rsa более секьюрно с точки зрения кода, выполняющегося с правами пользователя, чем ~/mysecrets/very_important_password?
Куку. Речь шла о записывании пароля в скрипт. Со временем скриптов становится больше, используемых ими ресурсов тоже, и поддерживать весь этот зоопарк стремно. А в плане секурности, стащить и то, и другое просто, да.
Во-первых, passphrase + ssh-agent еще никто не отменял.
Читаем аргумент чувака, которому я отвечал: «и не надо никуда пароли вводить». Думаем. Еще раз думаем. Понимаем, что ключ в его юзкейсе хранится в открытом виде, незапароленным. Чем открытая секретная строка в одном файлике безопаснее открытой секретной строки в другом файлике?
Во-вторых, многие пароли можно запомнив, подсмотрев «из-за плеча», в отличие от приватного ключа, для которого нужна честная фотографическая память.
Исходная задача была - ничего никуда не вводить, а брать из файла. А значит пароль может быть размером хоть с поэму. Чем открытая секретная строка в одном файлике безопаснее открытой секретной строки в другом файлике?
Ну и в-третьих, после утечки приватного ключа, не нужно придумывать новый пароль.
См. п. 1 - ключ лежит без пароля. Чем открытая секретная строка в одном файлике безопаснее открытой секретной строки в другом файлике?
Куку. Речь шла о записывании пароля в скрипт. Со временем скриптов становится больше, используемых ими ресурсов тоже, и поддерживать весь этот зоопарк стремно.
Когда у тебя есть есть script1 со строкой PSWD=blabla и script2 со строкой PSWD=blabla, ты, внезапно, можешь вынести PSWD в отдельный файл.
А в плане секурности, стащить и то, и другое просто, да.
Когда у тебя есть есть script1 со строкой PSWD=blabla и script2 со строкой PSWD=blabla, ты, внезапно, можешь вынести PSWD в отдельный файл.
Спрашивается, зачем изобретать велосипед?
Слава богу, дошло.
Я про секурность и не спорил. И тут ИМХО есть еще пара моментов. С одной стороны, найти и украсть ssh-ключи проще, а где вася разбросал свои файлы с паролями еще поискать надо. С другой стороны, вася может с дуру отдать кому-нибудь свой скрипт и сам спалит пароли (если они записаны прямо в скрипте), с ключами этого не произойдет.